讓掃碼支付更安全

劉國信

讓掃碼支付更安全

劉國信

近年來，繼移動搜索、手機瀏覽器后，二維碼正逐步成為移動互聯網的關鍵入口。二維碼掃碼支付，除了搶占用戶的搜索入口，還可以打通線上線下，最大限度地將用戶的購買欲轉化成購買力。但隨著二維碼應用的不斷普及，各開發企業和應用商家在二維碼支付領域的競爭也愈發激烈，解決備受關注的二維碼應用安全問題，已經迫在眉睫。據悉，近日中國銀聯正式發布了二維碼支付標準，該標準對二維碼類別、編碼方式、生成規則、識讀設備等作出了詳細規定，隨著標準的實施，消費者的掃碼支付環境將更加安全。

確立二維碼支付地位

二維碼支付雖然便捷，但存在一定的安全風險。2014年3月，央行發函叫停了支付寶和騰訊的虛擬信用卡產品，同時叫停了條碼（二維碼）支付等面對面支付服務。

當時，央行在公函中稱，線下條碼（二維碼）支付由于突破了傳統受理終端的業務模式，存在一定的支付風險隱患。但由于二維碼支付無論對商戶還是消費者都非常便捷，掃碼支付的方式已被大家廣泛接受，因此，央行發文兩年多來，條碼支付不但沒有銷聲匿跡，反而越來越普及，一些銀行也開發了自己的掃碼支付產品。

2016年8月，由央行主管的中國支付清算協會向支付機構下發《條碼支付業務規范（征求意見稿）》，將二維碼支付定位為“傳統線下銀行卡支付的有益補充”，并規定了交易驗證安全等級和限額。這是央行2014年3月叫停二維碼支付后，首次承認二維碼支付的地位。

如今，中國銀聯二維碼支付標準最終面市。中國銀聯相關負責人表示，目前移動支付正呈現出多元化發展的趨勢，小微商戶與持卡人的支付需求也涵蓋多個層次。當前市場上，二維碼支付已逐漸普及，銀聯的發卡、收單成員機構、銀聯卡的用戶對于這一支付交互方式的推廣與應用都有一定的需求，但跨行之間互聯互通的市場需求并未得到很好的滿足。為此，在成員機構的共同推動之下，中國銀聯正式發布“銀聯二維碼支付標準”，希望為成員機構推廣相關產品與服務，以及為銀聯卡持卡人用卡提供更加豐富多樣的選擇，支撐銀聯二維碼支付業務有序發展。

銀行系支付產品亮相

2016年下半年以來，一些細心的市民發現，在商場、超市掃碼付款時，除了支付寶和微信，還多了銀行二維碼這項選擇。2016年7月，工商銀行對外宣布推出二維碼支付產品，隨后建設銀行、民生銀行、中信銀行、招商銀行、浦發銀行、興業銀行等紛紛推出二維碼支付產品，農業銀行和平安銀行的二維碼支付產品可能將在2017年正式上線。

在建設銀行手機銀行APP中，“龍支付”位于屏幕左上角，十分醒目。據了解，“龍支付”支持個人用戶綁定任何一家銀行的借記卡，它具有建行錢包、二維碼支付、二維碼取款、云閃付、AA收款等多種功能。對于商戶而言，“龍支付”具有二維碼收款、交易查詢和對賬功能。

與微信支付和支付寶相比，銀行系二維碼產品的功能毫不遜色。大型銀行技術力量強大，二維碼支付產品大多是自己研發。而中小銀行的二維碼產品大多外包給第三方技術服務商研發。銀聯二維碼支付的特色之一是其后臺賬戶仍基于實體銀行卡賬戶，因此，不存在因資金沉淀在虛擬賬戶而引發的金融風險。

目前，微信支付和支付寶在二維碼支付領域的競爭已經十分激烈，銀行系產品的加入，固然有一定的安全優勢，但要贏得市場份額，還取決于商戶和消費者的選擇。有業內人士認為，銀行推行二維碼支付仍然面臨著一些難題，比如線下成本太高，一般要依賴第三方支付機構甚至銀聯等傳統機構；此外，銀行客戶端的用戶黏性不足，市場接受度會受一定的影響。

新標準讓掃碼更安全

據悉，為統一銀行系二維碼支付標準，滿足消費需求，2016年12月12日，中國銀聯正式推出銀聯二維碼支付標準。該標準包括《中國銀聯二維碼支付應用規范》（以下簡稱《應用規范》）和《中國銀聯二維碼支付安全規范》（以下簡稱《安全規范》）兩個企業標準，基于銀行卡支付的四方模式，將通過統一技術實現不同機構間二維碼支付的互聯互通，滿足持卡人在不同場景下的支付需求；并應用支付標記等技術，為二維碼支付提供金融級安全保護，確保用戶支付安全。

《安全規范》從安全方面對二維碼受理設備、手機客戶端、后臺系統等提出了具體安全要求，確保支付過程中賬戶信息及支付資金的安全性，對下一步銀聯及銀行設計和開發二維碼產品提供了與安全相關的標準依據；《應用規范》定義了二維碼支付的應用場景和基于數字簽名的安全機制，提出了適用于金融支付的二維碼應用數據元，對下一步銀聯及銀行設計和開發二維碼產品中的二維碼編碼方案提供了可參照的標準依據。相比市場上部分機構已經在推廣應用的二維碼支付，銀聯二維碼支付標準有以下4個方面的特色：

首先，遵循現有銀行卡支付的四方模式，以支付安全為底線，確保持卡人賬戶、資金等關鍵要素的安全。銀聯二維碼支付基于卡組織的四方模式，與實體銀行卡支付的差異僅在于支付信息交互方式的變化，其后臺賬戶仍基于實體銀行卡賬戶。正因為仍舊基于銀行卡賬戶，不存在因資金沉淀在虛擬賬戶帶來的金融風險，消費者資金安全更有保障。此外，商業銀行可以獲取與傳統銀行卡支付一致的、透明的、完整的支付信息，有利于風險識別管控和客戶關系管理。

其次，采用支付標記化（Token）技術，確保支付安全。銀聯二維碼支付以支付安全為底線，通過制定統一的技術安全機制，確保持卡人賬戶、資金等關鍵要素的安全性。采用支付標記化（Token）技術對賬戶敏感信息進行保護，確保賬戶信息在存儲、處理和傳輸過程中的安全性，防止發生賬戶信息泄露的風險。

第三，相同場景下技術模式統一，可以互聯互通。在相同的二維碼支付場景采用統一的技術方案和模式，實現不同機構之間的業務互聯互通，確保用戶使用體驗的一致性。

第四，兼容相關國際標準。預留技術擴展性，未來可通過擴展實現對二維碼支付相關國際標準的兼容，確保今后境內和境外二維碼支付業務的跨境互聯互通。

業內人士表示，銀聯二維碼支付標準”的發布是銀聯作為銀行卡轉接清算組織，為市場需求方提出“互聯互通”技術解決方案的重要舉措，也是銀聯聯合成員機構推廣與應用二維碼支付的第一步。后續還將陸續發布配套的業務規則和產品方案等，搭好平臺，做好服務，聯合商業銀行以及其他成員機構，共同為持卡人提供更多低成本、安全、便捷的支付選擇。

專家指出，在傳統模式下，從廣告顯示到購物消費需要多次跳轉，而二維碼技術將用戶更多碎片化時間和互動、購買、支付結合起來，能夠最大限度地把用戶的購買欲轉化成購買力。因此，隨著移動互聯網的快速發展，二維碼在金融、物流、交通、軍事、醫療和商業各領域得到更廣泛的應用，未來在商業信息化、移動營銷、移動商務等領域還將大有作為。